应用场景：

此方案适用于无802.1X认证的环境，用户IP地址为静态分配的场景。并且需要明确知道每个用户都是连接在交换机那个端口下的。

优点：控制非常严格，应用硬件方式直接校验ARP报文，准确，无需消耗CPU。

       缺点：端口安全必须一一配置并收集所以用户IP和MAC信息，同时还要配置较为繁杂，不够灵活，不适合于用户需要频繁迁移端口的环境。

 

功能简介：

Port-security + ARP-check方案：通过端口安全（Port-security）功能将用户正确的IP与MAC写入交换机的硬件表项，使用ARP-check功能校验ARP报文的正确性。如果合法用户的信息漏绑定了，或者是非法的IP,MAC接入网络，ARP校验都将失败，这样的用户将无法使用网络。

 

一、组网需求

接入交换机下联PC使用静态设置IP地址，为了防止ARP欺骗，使用端口IP+MAC绑定形式+ARP-check方案解决ARP欺骗问题。

 

二、组网拓扑

       

 

三、配置要点

1、在接入交换机连接用户的端口开启端口安全功能，并且设置IP+MAC绑定

2、在接入交换机连接用户的端口开启arp-check功能

 

四、配置步骤  

核心交换机配置：

1. 创建核心设备的IP地址，即用户的网关地址

【首页/VLAN管理】-->【VLAN设置】

 

【首页/VLAN管理】-->【Trunk口设置】

 

对应的命令行配置：

Ruijie(config)#vlan 10

Ruijie(config-vlan)#int vlan 10

Ruijie(config-if-VLAN 10)#ip address 192.168.1.254 255.255.255.0

Ruijie(config-if-VLAN 10)#exit 

Ruijie(config)#interface gigabitEthernet 0/4

Ruijie(config-if-GigabitEthernet 0/4)#switchport mode trunk

Ruijie(config-if-GigabitEthernet 0/4)#end

Ruijie#wr

 

接入交换机配置：

1. 要求G0/2端口只能接入192.168.1.1且mac地址是0021.CCCF.6F70的电脑，

1.1、接入交换机开启端口安全功能，添加安全端口。

【安全/端口安全】-->【基本设置】

点击添加安全口，设置安全口的限定MAC数、老化时间、违例处理方式，保存配置。

 

1.2、绑定相应安全表项

【安全/端口安全】-->【安全绑定】

点击添加安全绑定地址，设置IP地址、MAC地址、VLAN ID以及绑定的接口，保存配置。

 

1.3、配置ARP-check检查设置

【网络/防ARP攻击】-->【ARP检查设置】

选择开启ARP检查的端口，保存配置。

 

对应的命令行配置：

Ruijie>enable 

Ruijie#configure terminal

Ruijie(config)#interface GigabitEthernet 0/2

Ruijie(config-if-GigabitEthernet 0/2)#switchport port-security binding 0021.CCCF.6F70 vlan 10 192.168.1.1   ------>把属于vlan10 ，且mac地址是0021.CCCF.6F70 ，ip地址192.168.1.1的PC绑定在交换机的第二个千兆接口上

Ruijie(config-if-GigabitEthernet 0/2)#switchport port-security   ------>开启端口安全功能

Ruijie(config-if-GigabitEthernet 0/2)#arp-check      ------>开启arp-check功能

Ruijie(config-if-GigabitEthernet 0/2)#exit

 

2.        要求Gi0/3端口要求只能接入ip地址是192.168.1.2的电脑，mac地址0023.5abd.1975 ，即Gi0/3下的电脑ip地址只能连接IP地址为192.168.1.2，MAC为0023.5abd.1975 的电脑，两者只要一个不符合，都认为不符合安全规则。

2.1、接入交换机开启端口安全功能，添加安全端口。

【安全/端口安全】-->【基本设置】

 

2.2、绑定相应安全表项

【安全/端口安全】-->【安全绑定】

 

2.3 配置ARP-check检查设置

【网络/防ARP攻击】-->【ARP检查设置】

 

对应的命令行配置：

Ruijie(config)#interfac GigabitEthernet 0/3

Ruijie(config-if-GigabitEthernet 0/3)# switchport port-security binding 0023.5abd.1975 vlan 10 192.168.1.2   ------>把属于vlan10 ，且mac地址是0023.5abd.1975，ip地址192.168.1.2的PC绑定在交换机的第三个千兆接口上

Ruijie(config-if-GigabitEthernet 0/3)#switchport port-security   ------>开启端口安全功能

Ruijie(config-if-GigabitEthernet 0/3)#arp-check      ------>开启arp-check功能

Ruijie#write                   ------>确认配置正确，保存配置

 

注意事项：

如果开启了安全通道（优先级高于1x认证），用户需求要认证前放通某些校内网页的IP，则必须允许用户ARP报文提前通过，这样用户才可以和网关通信，由于安全通道优先级更高，这将会导致防ARP欺骗功能失效。

Ruijie(config)#expert access-list extended permit1x    ------>这个选项无法在web配置， 只能通过CLI配置

Ruijie(config-exp-nacl)#permit ip any any host 211.58.23.11 any       ------>放通允许认证前访问的校内主页地址

Ruijie(config-exp-nacl)#permit arp any any any any any         ------>放通用户和网关间的ARP报文交互

Ruijie(config)#security global access-group permit1x

 

解决办法：不要使用permit arp any的方式，只放通到网关的ARP报文，这样用户间的ARP欺骗依然可以使用ARP-check来防止，但用户依然可以冒充其他用户来欺骗网关，不能彻底防止ARP欺骗。

Ruijie(config-exp-nacl)#permit arp any any any any host 192.168.1.254        ------>放通用户和网关间的ARP报文交互，如果交换机上有多个VLAN，需要放通多个网关的ARP

 

 

五、功能验证

1）查看端口安全被绑定的IP+MAC

【安全/端口安全】-->【安全绑定】查看

 

2）查看ARP-Check检测的用户

【网络/防ARP攻击】-->【ARP检查设置】查看ARP检查配置

通过CLI命令show interface arp-check list查看ARP-Check检测的用户